Conservazione dell'evidenza digitale

Il terzo step consiste nella adozione di cautele idonee a garantire la "conservazione" dei dati digitali, tanto degli originali, quanto delle copie. In particolare, "conservare" un elemento di natura digitale significa garantirne l'integrità170 _{(assenza di fattori esterni di alterazione) e} documentarne la vita post acquisizione (attraverso la c.d. catena di custodia).

Tecnicamente, l’obiettivo della conservazione in ambito digitale presuppone l’adozione di cautele diverse a seconda che si parli di preservazione fisica o logica. Nel caso in cui le circostanze del caso concreto suggeriscano di sequestrare fisicamente il dispositivo hardware, il cui contenuto informativo sarà oggetto di una successiva analisi svolta in post mortem, l'operatore dovrà procedere all'imballaggio del dispositivo apponendo più etichette di sicurezza la cui rimozione, anche parziale, evidenzierà una violazione dei sigilli. Durante il periodo di tempo intercorrente tra il momento del materiale sequestro e quello dell’accertamento tecnico sul reperto, è necessario evitare pericoli di inquinamento, che, con riferimento a materiale informatico, sono per lo più rappresentati da esposizione a temperature estreme, umidità, raggi UV, vibrazioni durante l'uso od il trasporto, cadute (anche accidentali), campi elettromagnetici, ecc.171_{. Occorre quindi mettere in atto procedure che} consentano una corretta conservazione della prova digitale, utilizzando ad esempio appositi contenitori o buste antistatiche e depositando i corpi di reato digitali presso archivi che meno invasivi possibile: limitare l'inquinamento del reperto consentirà di acquisire più informazioni genuine. Le inevitabili alterazioni prodotte, infine, devono essere note e documentabili. In questo contesto non va comunque dimenticato uno dei principi fondamentali delle indagini digitali: quando è possibile scegliere tra acquisizione e analisi, prima si acquisisce e poi si analizza, non il contrario. Anche perché, solitamente, le procedure di acquisizione impattano sul sistema in misura minore rispetto ad operazioni di analisi». Così. D. GABRINI, La L. 48/2008 ed il reperimento delle fonti di prova da sistemi digitali, http://www.marcomattiucci.it/l482008.php, 30 novembre 2015.

169 _{In questo si sintetizza la differenza tra lo storico ed il giudice. Cfr. P. TONINI, Manuale di procedura penale,}

cit., pp. 259 e ss.

170 _{L’integrità dipende dalle cautele adottate in concreto per evitare il danneggiamento, anche accidentale, dei}

dati. I problemi principali in un laboratorio forense sono legati a: elevata quantità di dati; necessità di trasferimento dei dati; necessità di conservazione dei dati integri per lungo tempo; necessità di garantire un accesso riservato ai dati. Per soddisfare queste necessità è necessario implementare una accurata policy di Data Management.

171 _{U.S. Department of Justice, Electronic crime scene investigation: a guide to First Responder,}

49

garantiscano condizioni di temperatura ed umidità costanti, privi di luce naturale ed adeguatamente schermati dal punto di vista elettromagnetico172_{. Tali archivi dovrebbero} altresì prevedere sistemi di protezione fisici ad accesso condizionato, con registrazione di ogni singola apertura. Il personale che interagisce con i reperti dovrà indossare appositi dispositivi antistatici, utilizzando strumentazione idonea nel momento in cui il reperto sarà aperto per essere esaminato.

Quando è possibile acquisire i dati on site in sicurezza, la conservazione deve essere realizzata innanzitutto a livello software, con memorizzazione del clone all'interno di un c.d.

forensic container173 _{e validazione del suo contenuto informativo attraverso un doppio codice}

hash174_{. Nel linguaggio matematico ed informatico, la funzione hash è una funzione univoca,} unidirezionale e non invertibile, che consente di codificare una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. In particolare, l’algoritmo di hash, partendo da un documento di qualsiasi tipo e grandezza, è in grado di generare una stringa univoca di dimensioni fisse denominata digest o impronta digitale. Applicando tale algoritmo al contenuto di un file o anche ad un intero dispositivo, si ottiene una sequenza alfanumerica di caratteri che rappresenterà l’impronta digitale dei dati memorizzati nel dispositivo. Il valore di

hash del dato originario e del suo clone, calcolato in sede di repertazione, sarà dunque il

sigillo digitale dell’evidenza e costituirà una certificazione inoppugnabile che il contenuto del supporto originale risulti esattamente uguale alla copia; ciò in quanto una minima modifica degli elementi acquisiti genererà un digest differente rispetto a quello prodotto in sede di acquisizione del contenuto del dispositivo originale, inficiandone il valore processuale175_.

172 _{E’ noto come le cariche elettrostatiche o forti campi elettromagnetici possano interagire con i dati contenuti}

all’interno di tutti quei dispositivi di memorizzazione di tipo read-write, come ad esempio Hard disk, floppy disk, pen drive, memorie allo stato solido, memorie ad accesso casuale (RAM, ROM) etc. I soli dispositivi apparentemente non influenzabili da campi elettromagnetici sono i dispositivi ottici quali CD-ROM o DVD- ROM, etc., che comunque possono essere soggetti a degrado in particolare se vengono a contatto con sostanze solventi o composti solforosi.

173 _{Un forensic container è caratterizzato dai seguenti elementi: controlli interni sulla consistenza dei dati}

(integrità, indicizzazione, ecc.); informazioni sul caso investigativo (numero del caso, descrizione del supporto, nominativo dell'operatore, ecc.; sistemi di compressione; sistemi di cifratura.

174 _{L’integrità dei dati oggetto di acquisizione può essere garantita e verificata attraverso l’applicazione di un}

algoritmo di hash, che consente di “firmare” in maniera univoca un determinato agglomerato di dati. Cfr., per un approfondimento, G. ZICCARDI, Manuale breve, cit., pp. 206 e 207.

175 _{D’altronde, una verifica bit-a-bit richiede tempi di elaborazione molto elevati. Per questo motivo si utilizzano}

funzioni di hash. Una funzione di hash è una funzione one-way che, dato un input di lunghezza arbitraria, fornisce un output (hash) di lunghezza fissa. Dall'hash non è possibile risalire al dato originale ed una minima variazione nel dato originale si traduce in una grande variazione del risultato. Queste proprietà rendono le funzioni di hash lo strumento ideale per la verifica di una copia forense: si calcola l'hash dell'originale e quello della copia; se coincidono, allora anche originale e copia coincidono. Le principali funzioni di hash utilizzate sono: MD5 (Message Digest Algorithm); SHA-0, SHA-1, SHA-2 (Secure Hash Algorithm). La maggior parte dei

50

Garantire una corretta catena di custodia significa documentare tutto ciò che è stato fatto con la prova originale e con le copie forensi realizzate, a partire dall'acquisizione fino ad arrivare al giorno del processo. Il primo anello della catena di custodia è costituito dal c.d.

first responder: il primo e forse anche l'unico soggetto a vedere la scena del crimine nel suo

stato originale.

Il primo atto di una corretta catena di custodia nasce dal sopralluogo e dal relativo sequestro: all’esito di tali attività, infatti, il codice di rito contempla l’obbligo di verbalizzazione. Tipiche informazioni che possono essere contenute inizialmente in questi verbali sono: numero del caso; reparto investigativo; investigatore assegnato al caso; natura e breve descrizione del caso; investigatore incaricato della duplicazione dei dati; data e ora di inizio custodia; luogo in cui il supporto è stato rinvenuto; produttore del supporto; modello del supporto; numero di serie del supporto. Ogni volta che i supporti oggetto di indagini vengono affidati ad un nuovo investigatore, ad un perito, ad un consulente tecnico di parte o all’ufficio dei corpi di reato del Tribunale, nella catena di custodia dovrà essere aggiunta un'informazione contenente i seguenti elementi: nome dell'incaricato all'analisi; data e ora di presa in carico del supporto; data e ora di restituzione del supporto.

Giuridicamente, conservazione e documentazione sono imposte dal principio del contraddittorio nella formazione della prova: l’evidenza digitale deve essere conservata in modo tale da essere preservata da qualsiasi possibile alterazione, per consentire alla controparte di esperire le relative indagini, perizie e valutazioni su un quid identico all’originale.